Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
I den här artikeln beskrivs de olika komponenterna i en Microsoft Sentinel-lösning och hur de kan arbeta tillsammans för att hantera viktiga kundscenarier.
Sentinel-plattformen innehåller en datasjö, graf, Jupyter-jobb, en MCP-server (modellkontextprotokoll) och data från mer än 300 Sentinel-anslutningar som hjälper kunderna att centralisera och analysera sina säkerhetsdata på ett kostnadseffektivt sätt. Dessa funktioner plus Microsoft Security Copilot gör det möjligt för kunder och partner att skapa effektfulla lösningar som kan publiceras via Microsoft Security Store.
Sentinel SIEM används av SOC-team (Security Operations) för att generera identifieringar, undersöka skadligt beteende och åtgärda hot. Genom att skapa Sentinel-anslutningsappar för att hämta nya data, och genom att skapa innehåll som analysregler, spelböcker, jaktfrågor, parsare och arbetsböcker, kan partner hjälpa SOC-team att få information som de behöver för att identifiera hot och svara på lämpligt sätt. Sentinel SIEM-lösningar publiceras via Sentinels innehållshubb.
Datainsamling
Oavsett om du skapar en lösning som använder plattformskomponenter eller riktar in dig på en Sentinel SIEM-integrering är det viktigt att ha rätt data för ditt scenario.
Sentinel-anslutningsappar tar in data till Sentinel, som sedan kan analyseras i sjön med hjälp av Jupyter Notebooks och jobb, eller adresseras med Sentinel SIEM-innehåll som analysregler och jaktfrågor.
Dessa data kan innehålla följande typer:
| Typ | Beskrivning |
|---|---|
| Ej bearbetade data | Stöder identifieringar och jaktprocesser. Analysera rådata där tecken på skadlig aktivitet kan finnas. Ta med obearbetade data till Microsoft Sentinel för att använda Microsoft Sentinels inbyggda jakt- och identifieringsfunktioner för att identifiera nya hot med mera. Exempel: Syslog-data, CEF-data över Syslog, program, brandvägg, autentisering eller åtkomstloggar med mera. |
| Säkerhetsslutsatser | Skapar aviseringssynlighet och möjlighet till korrelation. Aviseringar och identifieringar är slutsatser som redan har gjorts om hot. Att sätta identifieringar i kontext med alla aktiviteter och andra identifieringar som visas i Microsoft Sentinel-undersökningar, sparar tid för analytiker och skapar en mer fullständig bild av en incident, vilket resulterar i bättre prioritering och bättre beslut. Exempel: aviseringar mot skadlig kod, misstänkta processer, kommunikation med kända dåliga värdar, nätverkstrafik som blockerades och varför, misstänkta inloggningar, identifierade lösenordssprayattacker, identifierade nätfiskeattacker, dataexfiltreringshändelser med mera. |
| Referensdata | Skapar kontext med refererade miljöer, sparar undersökningsarbete och ökar effektiviteten. Exempel: CMDB:er, tillgångsdatabaser med högt värde, beroendedatabaser för program, IP-tilldelningsloggar, hotinformationssamlingar för berikning med mera. |
| Hotinformation | Driver hotidentifiering genom att bidra med indikatorer på kända hot. Hotinformation kan innehålla aktuella indikatorer som representerar omedelbara hot eller historiska indikatorer som bevaras för framtida förebyggande åtgärder. Historiska datauppsättningar är ofta stora och refereras bäst till ad hoc i stället för att importera dem direkt till Microsoft Sentinel. |
Parserar
Parsare är KQL-funktioner som omvandlar anpassade data från produkter från tredje part till ett normaliserat ASIM-schema. Normalisering säkerställer att SOC-analytiker inte behöver lära sig mer om nya scheman och i stället skapa analysregler och jaktfrågor på det normaliserade schema som de redan är bekanta med. Granska tillgängliga ASIM-scheman som tillhandahålls av Microsoft Sentinel för att identifiera relevanta ASIM-scheman (ett eller flera) för dina data för att säkerställa enklare registrering för SOC-analytiker och för att säkerställa att det befintliga säkerhetsinnehållet som skrivits för ASIM-schemat är tillämpligt för dina produktdata. Mer information om tillgängliga ASIM-scheman finns i ASIM-scheman (Advanced Security Information Model).
Visualisering
Du kan inkludera visualiseringar som hjälper kunder att hantera och förstå dina data genom att inkludera grafiska vyer över hur väl data flödar in i Microsoft Sentinel och hur effektivt de bidrar till identifieringar.
Du kan inkludera visualiseringar som hjälper kunder att hantera och förstå dina data genom att inkludera grafiska vyer över hur väl data flödar in i Microsoft Sentinel och hur effektivt de bidrar till identifieringar.
Övervakning och identifiering
Sentinels övervaknings- och identifieringsfunktioner skapar automatiserade identifieringar som hjälper kunderna att skala sitt SOC-teams expertis.
I följande avsnitt beskrivs övervaknings- och identifieringselement som du kan inkludera i din lösning.
Security-Copilot-agenter
Security Copilot-agenter automatiserar repetitiva uppgifter och minskar manuella arbetsbelastningar. De förbättrar säkerheten och IT-driften i molnet, datasäkerhet och sekretess, identitet och nätverkssäkerhet. För Sentinel kan agenter köra frågor mot SIEM eller datasjön och anropa API:er för att utöka Microsoft Sentinel-data. De kan använda notebook-jobb för intensiv databearbetning eller analys och använda valfritt antal plugin-program.
Jupyter Notebook-jobb
Jupyter Notebook-jobb ger kraftfulla verktyg för att utföra komplexa datatransformeringar och köra maskininlärningsmodeller med hjälp av Spark-jobb i Sentinel Data Lake. De kan användas av Security Copilot-agenter för att tillhandahålla ett deterministiskt och effektivt sätt att utföra dataanalys och sammanfattning och köras kontinuerligt. Notebook-jobb kan skriva anpassade datatabeller till analysnivån och datasjön som ska användas av underordnade komponenter som agenter, arbetsböcker, jaktfrågor och andra.
Analysregler
Analysregler är avancerade identifieringar som kan skapa korrekta och meningsfulla aviseringar.
Lägg till analysregler i din lösning för att hjälpa dina kunder att dra nytta av data från systemet i Microsoft Sentinel. Till exempel kan analysregler hjälpa till att ge expertis och insikter om de aktiviteter som kan identifieras i de data som din integrering levererar.
De kan skicka aviseringar (anmärkningsvärda händelser), incidenter (undersökningar) eller utlösa automatiseringsåtgärdsplaner.
Du kan lägga till analysregler genom att inkludera dem i en lösning och via Microsoft Sentinel ThreatHunters-communityn. Bidra via communityn för att uppmuntra communityns kreativitet framför partnerbaserade data, vilket hjälper kunder med mer tillförlitliga och effektiva identifieringar.
Jaktfrågor
Med jaktfrågor kan SOC-analytiker proaktivt söka efter nya avvikelser som inte identifieras av de för närvarande schemalagda analysreglerna. Jaktfrågor vägleder SOC-analytiker till att ställa rätt frågor för att hitta problem från data som redan är tillgängliga i Microsoft Sentinel och hjälper dem att identifiera potentiella hotscenarier. Genom att inkludera jaktfrågor kan du hjälpa kunder att hitta okända hot i de data du anger.
Workbooks
Arbetsböcker tillhandahåller interaktiva rapporter och instrumentpaneler som hjälper användare att visualisera säkerhetsdata och identifiera mönster i data. Behovet av arbetsböcker beror på det specifika användningsfallet. När du utformar din lösning bör du tänka på scenarier som bäst kan förklaras visuellt, särskilt för scenarier för att spåra prestanda.
Investigation
Sentinel-undersökningsdiagrammet ger utredare relevanta data när de behöver dem, vilket ger insyn om säkerhetsincidenter och aviseringar via anslutna entiteter. Utredare kan använda undersökningsdiagrammet för att hitta relevanta eller relaterade, bidragande händelser till hotet som är under utredning.
Partner kan bidra till undersökningsdiagrammet genom att tillhandahålla:
- Microsoft Sentinel-aviseringar och incidenter som skapats via analysregler i partnerlösningar.
- Anpassade utforskningsfrågor för partnerbaserade data. Anpassade utforskningsfrågor ger omfattande utforskning och anslutning mellan data och insikter för säkerhetsutredare.
Svar
Arbetsböcker stöder arbetsflöden med omfattande automatisering och utför säkerhetsrelaterade uppgifter i kundmiljöer. De är viktiga för att säkerställa att SOC-analytikerna inte överbelastas av taktiska objekt och kan fokusera på den mer strategiska och djupare rotorsaken till sårbarheterna. Om till exempel en avisering med hög allvarlighetsgrad identifieras kan en spelbok automatiskt initiera en serie åtgärder, till exempel att meddela säkerhetsteamet, isolera berörda system och samla in relevanta loggar för ytterligare analys.
Till exempel kan spelböcker hjälpa dig på något av följande sätt och mycket mer:
- Hjälpa kunder att konfigurera säkerhetsprinciper i partnerprodukter
- Samla in extra data för att informera utredningsbeslut
- Länka Microsoft Sentinel-incidenter till externa hanteringssystem
- Integrera livscykelhantering för aviseringar mellan partnerlösningar
När du utformar din lösning bör du tänka på de automatiserade åtgärder som kan vidtas för att lösa incidenter som skapats av analysreglerna som definierats i din lösning.
Exempel på Sentinel SIEM-scenario
I följande avsnitt beskrivs vanliga partnerscenarier och rekommendationer för vad som ska ingå i en lösning för varje scenario.
Din produkt genererar data som är viktiga för säkerhetsundersökningar
Scenario: Din produkt genererar data som kan informera säkerhetsundersökningar.
Exempel: Produkter som tillhandahåller någon form av loggdata är brandväggar, molnprogramsäkerhetskoordinatorer, fysiska åtkomstsystem, Syslog-utdata, kommersiellt tillgängliga och företagsbyggda LOB-program, servrar, nätverksmetadata, allt som kan levereras via Syslog i Syslog- eller CEF-format eller via REST API i JSON-format.
Så här använder du dina data i Microsoft Sentinel: Importera produktens data till Microsoft Sentinel via en dataanslutning för att tillhandahålla analys, jakt, undersökningar, visualiseringar med mera.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
| Typ | Element som ska inkluderas |
|---|---|
| Krävs | – En Microsoft Sentinel-dataanslutning för att leverera data och länka andra anpassningar i portalen. Exempeldatafrågor |
| Rekommenderat | -Arbetsböcker – Analysregler för att skapa identifieringar baserade på dina data i Microsoft Sentinel |
| Valfritt | - Jaktfrågor, för att ge jägare färdiga frågor att använda vid jakt - Notebook-filer, för att leverera en helt guidad, repeterbar jaktupplevelse |
Din produkt tillhandahåller identifieringar
Scenario: Din produkt tillhandahåller identifieringar som kompletterar aviseringar och incidenter från andra system
Exempel: Lösningar för skydd mot skadlig kod, lösningar för företagsidentifiering och svar, lösningar för nätverksidentifiering och svar, e-postsäkerhetslösningar som skydd mot nätfiskeprodukter, sårbarhetsgenomsökning, lösningar för hantering av mobila enheter, UEBA-lösningar, informationsskyddstjänster och så vidare.
Så här använder du dina data i Microsoft Sentinel: Gör dina identifieringar, aviseringar eller incidenter tillgängliga i Microsoft Sentinel för att visa dem i kontext med andra aviseringar och incidenter som kan inträffa i dina kunders miljöer. Överväg också att leverera loggar och metadata som driver dina identifieringar, som extra kontext för undersökningar.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
| Typ | Element som ska inkluderas |
|---|---|
| Krävs | En Microsoft Sentinel-dataanslutning för att leverera data och länka andra anpassningar i portalen. |
| Rekommenderat | Analysregler för att skapa Microsoft Sentinel-incidenter från dina identifieringar som är användbara i undersökningar |
Din produkt tillhandahåller hotinformationsindikatorer
Scenario: Produkten tillhandahåller hotinformationsindikatorer som kan ge kontext för säkerhetshändelser som inträffar i kundernas miljöer
Exempel: TIP-plattformar, STIX/TAXII-samlingar och offentliga eller licensierade hotinformationskällor. Referensdata, till exempel WhoIS, GeoIP eller nyligen observerade domäner.
Så här använder du dina data i Microsoft Sentinel: Leverera aktuella indikatorer till Microsoft Sentinel för användning på Microsofts identifieringsplattformar. Använd storskaliga eller historiska datauppsättningar för berikningsscenarier via fjärråtkomst.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
| Typ | Element som ska inkluderas |
|---|---|
| Aktuell hotinformation | Skapa en GSAPI-dataanslutning för att skicka indikatorer till Microsoft Sentinel. Ange en STIX 2.0 eller 2.1 TAXII Server som kunder kan använda med den färdiga TAXII-dataanslutningen. |
| Historiska indikatorer och/eller referensdatauppsättningar | Ange en logikappsanslutning för åtkomst till data och en spelbok för berikande arbetsflöde som dirigerar data till rätt platser. |
Din produkt ger extra kontext för undersökningar
Scenario: Din produkt tillhandahåller extra kontextuella data för undersökningar baserade på Microsoft Sentinel.
Exempel: CMDB:er med extra kontext, tillgångsdatabaser med högt värde, VIP-databaser, programberoende databaser, incidenthanteringssystem, biljettsystem
Så här använder du dina data i Microsoft Sentinel: Använd dina data i Microsoft Sentinel för att utöka både aviseringar och incidenter.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
- En logik Anslutningsverktyg
- En spelbok för berikande arbetsflöde
- Ett arbetsflöde för hantering av extern incidentlivscykel (valfritt)
Din produkt kan implementera säkerhetsprinciper
Scenario: Din produkt kan implementera säkerhetsprinciper i Azure Policy och andra system
Exempel: Brandväggar, NDR, EDR, MDM, identitetslösningar, lösningar för villkorsstyrd åtkomst, lösningar för fysisk åtkomst eller andra produkter som stöder blockering/tillåtna eller andra åtgärdsbara säkerhetsprinciper
Så här använder du dina data i Microsoft Sentinel: Microsoft Sentinel-åtgärder och arbetsflöden som möjliggör åtgärder och svar på hot
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
- En logik Anslutningsverktyg
- En spelbok för åtgärdsarbetsflöde
Referenser för att komma igång
Alla Microsoft Sentinel SIEM-integreringar börjar med Microsoft Sentinel GitHub-lagringsplatsen och bidragsvägledningen.
När du är redo att börja arbeta med din Microsoft Sentinel-lösning kan du hitta instruktioner för att skicka, paketera och publicera i guiden för att skapa Microsoft Sentinel-lösningar.
Komma till marknaden
Microsoft erbjuder programmen för att hjälpa partner att närma sig Microsoft-kunder:
Microsoft Partner Network (MPN). Det primära programmet för att samarbeta med Microsoft är Microsoft Partner Network. Medlemskap i MPN krävs för att bli en Azure Marketplace-utgivare, där alla Microsoft Sentinel-lösningar publiceras.
Azure Marketplace. Microsoft Sentinel-lösningar levereras via Azure Marketplace, där kunderna går för att identifiera och distribuera både Microsoft- och partnerspecifika allmänna Azure-integreringar.
Microsoft Sentinel-lösningar är en av många typer av erbjudanden som finns på Marketplace. Du kan också hitta lösningserbjudandena inbäddade i Microsoft Sentinel-innehållshubben
Microsoft Intelligent Security Association (MISA). MISA ger Microsoft Security Partners hjälp med att skapa medvetenhet om partnerskapade integreringar med Microsoft-kunder och hjälper till att tillhandahålla identifiering för Microsoft Security-produktintegreringar.
Att gå med i MISA-programmet kräver en nominering från ett deltagande Microsoft Security Product Team. Att skapa någon av följande integreringar kan kvalificera partner för nominering:
- En Microsoft Sentinel-dataanslutning och tillhörande innehåll, till exempel arbetsböcker, exempelfrågor och analysregler
- Publicerade Logic Apps-anslutningsprogram och Microsoft Sentinel-spelböcker
- API-integreringar från fall till fall
Om du vill begära en MISA-nomineringsgranskning eller för frågor kontaktar du AzureSentinelPartner@microsoft.com.
Nästa steg
Mer information finns i:
Datainsamling:
- Metodtips för datainsamling
- Microsoft Sentinel-dataanslutningsprogram
- Hitta din Microsoft Sentinel-dataanslutning
- Förstå hotinformation i Microsoft Sentinel
Hotidentifiering:
- Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler
- Undersöka incidenter med Microsoft Sentinel
- Automatisera hotsvar med spelböcker i Microsoft Sentinel
Jakt och anteckningsböcker
- Jaga efter hot med Microsoft Sentinel
- Hantera livestream- och jaktfrågor i Microsoft Sentinel med hjälp av REST API
- Använda Jupyter Notebooks för att jaga efter säkerhetshot
Visualisering: Visualisera insamlade data.
Undersökning: Undersöka incidenter med Microsoft Sentinel.
Svar: